Kỹ thuật tấn công eSIM cho phép sao chép và theo dõi người dùng

Những nghiên cứu mới đây đến từ công ty an ninh mạng AG Security Research (Ba Lan) tập trung vào bảo mật eSIM, đã dẫn đến việc phát hiện ra một phương pháp tấn công có thể gây ra hậu quả nghiêm trọng.

SIM nhúng, hay eSIM, hiện nay ngày càng trở nên phổ biến. Chúng loại bỏ nhu cầu sử dụng thẻ SIM vật lý trên điện thoại di động và các thiết bị IoT khác vốn yêu cầu kết nối di động. Một thành phần quan trọng của hệ sinh thái eSIM là Thẻ mạch tích hợp đa năng (eUICC), cho phép cung cấp SIM từ xa và sử dụng nhiều cấu hình để kết nối với các mạng di động khác nhau.

Phòng nghiên cứu Security Explorations của AG Security Research đã tiến hành phân tích sâu rộng về eSIM và eUICC, các nhà nghiên cứu phát hiện ra các lỗ hổng có thể bị khai thác để sao chép eSIM của mục tiêu và theo dõi thông tin liên lạc di động của họ.

Nghiên cứu tập trung vào thẻ Kigen eUICC được sử dụng rộng rãi. Nhà cung cấp Kigen - công ty tuyên bố đã kích hoạt hai tỷ SIM trong các thiết bị IoT, đã được thông báo về những phát hiện này và thực hiện các bước để giảm thiểu nguy cơ bị tấn công.

Hiệp hội Di động toàn cầu (GSMA), tổ chức đại diện cho lợi ích của các nhà mạng di động trên toàn thế giới, đã chia sẻ hướng dẫn cho các nhà sản xuất eUICC, nhà cung cấp thiết bị và nhà phát triển ứng dụng để ứng phó với nghiên cứu về tấn công eSIM.

Điều đáng chú ý là trong khi Security Explorations tập trung phân tích vào các sản phẩm Kigen, chip eUICC/eSIM từ một số nhà cung cấp khác có thể dễ bị tấn công tương tự vì vấn đề cơ bản liên quan đến một loạt lỗ hổng được tìm thấy trong công nghệ Java Card của Oracle.

Các lỗ hổng Java Card được Security Explorations tiết lộ vào năm 2019, nhưng Oracle và các nhà sản xuất thẻ SIM sử dụng công nghệ này đã hạ thấp tác động tiềm tàng của chúng vào thời điểm đó. Dựa trên nghiên cứu này, Security Explorations đã xem xét tính bảo mật của eSIM trong nhiều tháng qua.

Để thực hiện một cuộc tấn công, kẻ tấn công cần quyền truy cập vật lý tạm thời vào thiết bị có eSIM. Mục tiêu là trích xuất một khóa cho phép cài đặt ứng dụng Java Card độc hại. Adam Gowdiak, Giám đốc điều hành kiêm nhà sáng lập của AG Security Research, giải thích rằng một khi có được khóa, chúng có thể được sử dụng để cài đặt các ứng dụng độc hại bằng cơ chế OTA (over-the-air) và không cần quyền truy cập vật lý nữa, như được chứng minh bằng một bằng chứng khái niệm (Poc) do ông tạo ra.

Sau khi ứng dụng độc hại được cài đặt, nó có thể cho phép kẻ tấn công xâm phạm tính bảo mật của chip, vốn được xây dựng với giả định rằng nó không thể bị xâm phạm. Kẻ tấn công có thể lấy dữ liệu hồ sơ eSIM (được các nhà mạng di động khác nhau sử dụng để xác thực trên mạng của họ), những dữ liệu này có thể bị các tác nhân đe dọa có nguồn lực mạnh (ví dụ các tin tặc quốc gia) lợi dụng để nghe lén thông tin liên lạc.

Kẻ tấn công cũng có thể tải xuống hồ sơ eSIM dưới dạng văn bản thuần túy và sử dụng chúng để sao chép eSIM. Các nhà nghiên cứu đã chứng minh tác động tiềm ẩn bằng cách sao chép hồ sơ eSIM của Orange Poland, dẫn đến việc tin nhắn và cuộc gọi được gửi đến thiết bị có eSIM được sao chép thay vì thiết bị gốc. Các nhà mạng di động khác cũng có thể bị ảnh hưởng.

Gowdiak cũng lưu ý rằng kẻ tấn công có thể tạo ra một backdoor trên chip eSIM, các nhà mạng di động có thể sẽ không có phương pháp nào phát hiện ra điều đó. Cuối cùng, kẻ tấn công có thể sử dụng lỗ hổng này để vô hiệu hóa chip eSIM. Gowdiak cho biết ông đã “phá vỡ” năm thẻ trong quá trình nghiên cứu.

Theo Security Explorations, dường như Oracle không mấy quan tâm đến nghiên cứu mới nhất. Trong khi đó, công ty bảo mật này tin rằng cuộc tấn công mới đây có thể đã được ngăn chặn nếu Oracle xử lý các lỗi năm 2019 nghiêm túc hơn.

Security Explorations đã tạo ra một bộ công cụ để xác định xem máy ảo Java Card được eSIM sử dụng có dễ bị tấn công hay không. Bộ công cụ này cũng cho phép trích xuất khóa cần thiết, nhưng chức năng này chỉ dành riêng cho thẻ Kigen và có thể cần một phương pháp khai thác tùy chỉnh cho từng loại thẻ eUICC khác nhau.